江西财经职业学院 唐 琳 付达杰

随着信息系统应用功能与开发过程日益复杂化，对信息系统进行审计已经成为保障信息系统开发与应用安全的基本手段。与此同时，信息系统的广泛应用与信息化的迅猛推进，使得审计摆脱了传统的“手工”模式，进入了以信息技术支撑的信息化审计新模式。由此，信息系统审计应运而生，成为审计理论与实践领域的热点问题。信息系统审计主要包含两层意思。一是对信息系统（包含依托信息系统产生的各类数据）这一对象进行审计；二是以信息系统为技术手段开展审计业务。

一、信息系统审计发展障碍分析

（一）缺乏足够的重视 在我国，信息系统审计尚是一个新名词，在企业层面信息系统审计不是一种强制性行为。企业能否进行信息系统审计，往往取决于领导的重视程度。相对于系统开发与应用，信息系统审计的效益是隐性的并在关键时刻才能显现出来。但基于成本及其短期效益，大部分企业领导十分重视系统的开发与应用，而不愿意投入人力、资金与时间成本去开展信息系统审计。实际上，除一些大型国企，我国企事业单位很少设立信息系统审计专门业务处，目前尚未出现以信息系统审计为主要业务的事务所。这从侧面反映了我国信息系统审计在实务界尚未引起足够的重视，仅仅只是作为传统审计的一种辅助手段而存在，严重阻碍了信息系统审计的发展。

（二）缺乏有力的行业领导与规范体系 行业领导及规范体系是推进信息系统审计发展的重要力量。如信息系统审计与控制协会（ISACA）及其制定的COBIT框架，国际会计师联合会（IFAC）下设的国际审计实务委员会（IAPC）及其制定的系列信息系统审计准则，对当前国际信息系统审计发展起到了不可估量的作用。然而我国尚未成立一个专门的信息系统审计行业组织，信息系统审计相关规范也只是散见于国务院办公厅、审计署、中国注册会计师协会、中国内部审计协会等官方、民间组织的部分文件之中。包括《关于利用计算机信息系统开展审计工作有关问题的通知》、《独立审计具体准则第20号——计算机信息系统环境下的审计》、《内部审计具体准则第28号——信息系统审计》等重要规范皆非统一出口，难以形成统一的推动力量。

（三）缺乏有效数据接口与专业软件产品 信息系统是否拥有审计数据接口是有效开展信息系统审计的关键要素。2010年由国家审计署提出，国家标准化管理委员会发布了《财经信息技术会计核算软件数据接口》（GB/T 24589标准），具体规定了会计核算软件接口的数据格式要求。现实情况是，尽管金蝶、用友以及甲骨文等国内外专业系统都设置了审计数据接口，但目前以操作系统和数据库为核心的关键技术基本为国外公司所有，数据接口往往成为非开放性的限制性接口，数据难以完全转换，在一定程度上限制了使信息系统审计的发展。另外，先进的专业审计软件是信息系统审计的重要工具，目前我国的审计软件数量偏少，功能健全的不多，偏向于简易的查询分析与制表工作，如审计抽样、编制工作底稿，可用性不足，严重影响了信息系统审计效率。

（四）缺乏复合型审计人才及培育机制 信息系统审计本身是一门建立在审计、计算机技术、信息系统、项目管理、行为科学等多个学科基础之上的交叉复合型学科，一个合格的信息系统审计人员，必须具备审计专业知识与实践经验、信息系统项目管理知识与信息技术应用能力，但在我国这种复合型的人才极度匮乏，且没有相应的培育机制。目前，各高校审计、信息系统与信息管理、计算机科学技术等专业开设的较多，但尚未有专门立足培养信息系统审计人才的信息系统审计专业。且相关的职业资格认证较少，目前仅仅只是引入了国际注册信息系统审计师CISA资格认证考试，对信息系统审计从业资格、准入机制缺乏统一管理，职业资格体系与人才培养体系皆缺位，阻碍了我国信息系统审计的长足发展。

二、信息系统审计发展动力机制分析

（一）内部动力机制 一是技术发展的内在需要。网络时代，企业的生产经营与管理活动越来越依赖于信息系统，特别是电子政务、电子商务的发展以及移动互联、大数据技术的运用，信息数据已经成为企业的重要资产。面对海量的数据，一般的使用者很难对其质量做出合理评估，信息系统审计作为一种专业技术活动，可以以第三方身份对信息系统及其输入输出数据的真实性、合法性进行审计，为使用者提供较为公允有效的企业经营效果与财务状况。随着金财工程、金税工程的推进，财务息化已经逐步取代了传统的手工财务，审计业务更多面向信息系统与电子数据，发展信息系统审计，是适应信息化发展与审计技术发展的内在需要。二是企业生存发展的内在需要。近年来，我国企业面临的境内外网络攻击越来越多，网络病毒、黑客入侵等信息安全问题已经成为企业危机管理中不可忽视的重要因素，在一定程度上制约了企业的健康发展。信息系统审计，是保护企业数据安全、系统安全的基本手段。另外，信息系统对于企业的意义在于整合先进的理念、技术，实现业务流程重组或再造，从而降低成本损耗，提高运行效率。信息系统审计作为一种贯穿于信息系统设计到维护整个生命周期的活动，可以尽早发现信息系统生命周期各阶段特别是前期的一些问题并提出相应改进建议，从而有效降低系统开发、维护成本，提高系统质量与运行效益。

（二）外部动力机制 一是政府信息化发展战略的外在要求。2015年1月，中国互联网络中心发布《中国互联网络发展状况统计报告》，截至2014年12月，我国网民规模达6.49亿。全国企业使用计算机办公的比例为90.4%，使用互联网办公的比例为78.7%。面对如此庞大的用户群和高速发展的信息化现状，发展信息系统审计，保障信息系统有效应用与国家信息化战略稳定推进，是一个必然选择。二是国际竞争与合作的实际需要。融入国际竞争与合作是我国改革开放事业的必然要求。近年来，随着经济全球化和全球经济一体化的进程不断加快，我国企业海外战略跨国经营的步伐也不断加快，信息系统的跨国运行势在必行。美国、英国、德国、日本等西方发达国家，信息系统审计发展成效显著，国际化的标准不断涌现。我国企业要做大做强做优，必然要与国际接轨，发展信息系统审计，提升信息系统应用水平与安全运行能力，参与国际竞争与合作。

三、信息系统审计发展路径选择

（一）国外信息系统审计发展经验借鉴 信息系统审计的兴起与计算机技术的运用息息相关，西方发达国家如美国、英国、日本等，其信息系统审计的发展基本是以准则和法案来控制审计风险的制度完善过程。以美国为例，早在70年代，美国Oracle、SAP等软件公司推出的企业信息系统在业界有广泛的影响，但随之而来的是利用软件技术进行舞弊与诈骗的事件，信息系统风险开始引起公众关注，相关行业协会乃至国家政府部门针对这些舞弊与诈骗丑闻，出台了一些针对性的标准与法案。1974年，针对信息系统安全风险，美国注册会计师协会（AICPA）发表了《内部控制制度的调查与评价对电子数据处理的影响》，为信息系统审计提供了基本标准。80年代，网络技术的引入，信息系统安全日益复杂并成为一个专门的研究领域，1981年，美国电子数据处理审计协会（EDPAA，ISACA的前身）推出注册信息系统审计师（CISA）资格认证考试工作，该资格目前已成为全球唯一的一个信息系统审计领域专业权威认证体系。90年代，互联网蓬勃发展，跨国公司的国际化信息系统应用越来越广泛，信息系统安全问题成为一个国际化问题，信息系统审计亦趋复杂并依赖于一个全面的信息技术风险控制理论框架，为此，信息系统审计与控制协会（ISACA）发展成为国际行业组织，并于1996年发布了具有里程碑意义的《信息及相关技术控制目标（COBIT）》（2013年推出了COBIT 5.0版），在全球范围内得到广泛应用。2001年，美国安然公司破产，安然财务欺诈与审计舞弊事件引起美国政坛的震动乃至全世界的关注，其中安然的审计师——安达信会计事务所提供的会计造假成为全球关注的丑闻。紧接着，2002年世通公司财务丑闻爆发。这直接催生了美国史上最严厉的萨班斯法案的诞生。萨班斯法案强调了审计的独立性，禁止审计人员从事财务信息系统的设计、实施以及安全服务等，对信息系统审计产生了重大影响。

（二）我国信息系统审计发展路径 一是成立专业的信息系统审计组织机构。借鉴国外信息系统审计发展经验，成立专业的信息系统审计组织机构，是信息系统审计发展的重要保障。在全国范围内，立足我国坚持公有制经济主体地位的现实条件，并结合国情与社会文化传统，由政府主管部门——国家审计署主导，成立信息系统审计组织结构，指导全国信息系统审计的宏观政策、准则、法规制定，并承担相应的监督工作。各地也可在其地方审计局主导下成立地方信息系统审计组织结构。在企业及事务所内部，亦需成立专门的信息系统审计部门，对企业信息系统生命周期各阶段进行风险控制，保证信息系统的安全有效运行以及信息资产、财务数据的科学合法应用。

二是构建系统的信息系统审计规范与法规体系。建立系统的、统一的信息系统审计规范体系，并佐以相应的法规保障，是西方发达国家发展信息系统审计的基本途径。尽管我国审计署、中国注册会计师协会、中国内审协会出台了一些有关信息系统审计的准则，但这些准则皆立足于传统会计视角、瞄准于内部控制审计，以财务审计为中心，与专业的信息系统审计存在隔阂。因此，亟需转换思路，建立以信息系统审计为中心，瞄准信息系统全部生命周期、涵盖内部控制审计与信息系统安全审计、信息系统软硬件审计、绩效审计等内容的全新准则体系。同时，应加强与信息系统审计规范相配套的法规体系，确保规范的合法性。我国信息化领域的法规尚不完善，随着电子商务、电子政务的兴起，一些法律漏洞常常被不良分子利用，电子证据的篡改、电子单据的销毁等，都没有明确的法律规定，信息系统审计有准则遵照，但无法可依。实际操作中，可先行修改《会计法》、《审计法》等，增加信息系统审计相关法条，以后逐步完善建立专门的信息系统审计法规。建立信息系统审计规范与法规体系过程中，应立足国情，放眼世界，接轨国际，可以参照ISACA信息系统审计准则制定模式，逐条制定发布实施，在全球范围内广泛征询意见，保障各规范法规体系的前瞻性与稳定性，避免出现朝令夕改，力不从心的被动局面。

三是推进新技术环境下信息系统审计方法的创新。信息系统承载企业数据链和业务链，信息系统审计方法创新，最重要的是将传统审计方法与计算机审计技术、联网审计技术等现代审计手段相结合，以适应信息系统审计发展需求。近年来，随着移动互联、大数据、物联网、云技术等新技术的诞生与发展，信息系统的外部技术环境发生了巨大变化，为信息系统审计方法创新提供了机遇。一方面，全力推进信息系统在企业中的广泛应用，统一信息系统审计数据接口，增强系统对审计功能的支持。利用移动互联技术，形成基于电脑端、手机端多终端的信息系统，开发基于相应的先进信息系统审计软件，开展信息系统审计；另一方面，建立大数据审计思维，将传统的有选择的局部数据审计转向面向整体的大数据审计。信息系统本身是大数据的载体，大数据实际上也促进信息系统朝更复杂、更庞大、更健全的方向发展，以大数据技术为基础，将整个信息系统的全部财务与业务数据纳入到审计范围，是提高信息系统审计质量和效果的重要手段。

四是建立信息系统审计准入与人才培养衔接机制。人才是推动事业发展的关键要素。任何专业领域，能否取得快速长效发展，皆取决于是否有充足的人才。在我国，信息系统审计大多是传统财务审计人员的新工作，尚处于手工会计模式下的财务报表审计思维，其方法只不过是将手工转成了信息系统，将纸质报表转成了电子数据报表，与信息系统审计要求相差甚远。因此，建立科学严格的信息系统审计准入机制，并与之衔接配套相应的人才培养体系，是推动我国信息系统审计发展的重要举措。具体可以从三个方面入手：首先，参照注册信息系统审计师CISA认证，在注册会计师、审计师等资格考试基础上，增加以信息系统审计为主要考核内容的信息系统审计资格考试，并将其作为一种职业准入资格，使得信息系统审计人员达到专业化与职业化水准。其次，开发信息系统审计培训课程，对现阶段的审计人员进行信息系统审计专业培训。由于现有的审计人员大部分是财务审计出身，其一般审计学理论功底与实践经验较强，但缺乏过硬的计算机技术、网络技术与信息安全知识，培训重点应立足于信息系统下的审计业务实践。最后，在高校设置信息系统审计专业，系统培养信息系统审计专业人才。具体操作上，可以在会计、审计专业、信息管理等相关专业先行开设信息系统审计专业课程，然后在此基础上整合相关专业，成立新的信息系统审计专业，制定专业方案进行专门化的信息系统审计人才培养。

［1］ 王强：《信息系统审计常用方法》，《审计月刊》2011年第11期。

［2］ 刘杰：《我国信息系统审计准则构建研究》，《财会月刊》2014年第17期。